SaaS安全

核心摘要 安全公司Strix在一家获得美国国防部（DoD）资助的初创公司产品中发现了一项严重的多租户授权漏洞，该漏洞允许攻击者在无需身份验证的情况下访问敏感的跨租户数据。 八卦洞察 ▶ 合规不等于安全： 即使是拥有国防部背景的初创公司，在处理多租户架构的逻辑隔离时，依然存在严重的架构设计缺陷。 ▶ B2B SaaS的隐形炸弹： 授权漏洞（Broken Access Control）已取代传统的注入攻击，成为当前SaaS架构中最致命的“静默杀手”。 行动建议 企业应立即对现有的多租户SaaS应用进行“越权访问”专项审计，重点检查API层面的租户ID校验逻辑。 在开发流程中引入基于策略的访问控制（PBAC），而非仅依赖于前端隐藏或简单的会话检查。